أخبار الثغرات

اصدار أمني 1.5.13 من جملة! لاصلاح ثغرة خطيرة

تم أرشفة هذا المحتوى


أعلن فريق تطوير سكريبت ادارة المحتوى جملة! عن اطلاق الاصدار 1.5.13 لاصلاح ثغرتين اكتشفوا مؤخرا واحدة منهم شديدة الخطورة حيث يتمكن المهاجم من استغلالها لرفع ملفات للسيرفر مع القدرة على حذف الملفات الموجودة أيضا! وثغرة أخرى متوسطة الخطورة تمكن المهاجم من الوصول المباشر لبعض الملفات مما يؤدي لكشف مسار جملة! على السيرفر.

Joomla!

 

يعود سبب الثغرة الأولى لخطأ في اعدادات محرر جملة الافتراضي TinyMCE الذي تم تحديثه مؤخرّا عندما تم اصدار Joomla! 1.5.12 فيستغل المهاجم هذا الخطأ لرفع ملفات على السيرفر بشكل مباشر دون الحاجة لتسجيل دخول أو امتلاك أي تصريح لذلك!

أما الثغرة الثانية فأصابت جميع اصدارات السلسلة 1.5 من سكريبت جملة ويعود سببها لعدم وجود دالة JEXEC في بداية الملف تمنع المستخدمين من الوصول المباشر لهذه الملفات فيستغلها المهاجم لكشف مسار سكريبت جملة! في السيرفر:

http://www.example.com/joomla-1.5.12/libraries/joomla/utilities/compat/php50x.php
http://www.example.com/joomla-1.5.12/libraries/joomla/client/ldap.php
http://www.example.com/joomla-1.5.12/libraries/joomla/html/html/content.php

ننصح الجميع بتحديث جملة! 1.5.12 الى الاصدار 1.5.13 بأسرع وقت ممكن عن طريق تحميل هذا الملف واستبدال ملفات الموقع بحسب الملفات الموجودة فيه أو القيام بتحميل الحزمة المناسبة من هذه الصفحة في حال استخدام اصدار أقدم من 1.5.12.

 

لمزيد من المعلومات: BID 35780Joomlaالاستغلال

تعليق واحد

  1. لا أعلم لماذا جمله؟

    جمله تختلف عن باقي المجلات بتحكم شبه كامل بمساحة صاحب الموقع

    وهنا المصيبه اي خلل امني يعرض الموقع كاملا للخطر

    لا أعلم لماذا جمله ؟ ولكن تجربتي لها

    اثبتت بأنها معقده بالتركيب والإداره والدعم

    وحتى في تصميم قوالبها

    ولكن أجمل ما فيها قوالبها الني يتم تصميمها من شركات عالمية

    , ما الباقي فغالبا ستجده في عدة مجلات

    كنت أريد تركيبها سابقا في أحد المواقع لسبب ومنعني من تركيبها عدة أسباب !

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى